公開日 /-create_datetime-/
激しくなる一方のサイバー攻撃により、企業の機密情報漏えいが散見されます。2022年9月に発生した、政府運営の「e-Gov」や人気SNSなどへのサイバー攻撃は記憶に新しいのではないでしょうか?
機密情報とは、自社の文書やデータ情報だけでなく、取引先の営業秘密情報も含まれます。
今回は、経営者やバックオフィスのセキュリティ担当者に向け、事例を交えながら機密情報漏えい対策やリスクについて解説します。
目次【本記事の内容】
まずは、どのような内容が機密情報にあたるのかを把握しておきましょう。
上から順に機密情報の重要度を示す「VAPS」という指標があります。
V |
Vital |
バイタル情報資産 |
正式な文書など |
A |
Archival |
アーカイバル情報資産 |
社史編纂資料など |
P |
Personal |
個人情報資産 |
個人情報など |
S |
Security |
セキュリティレベル |
極秘・秘・社外秘のランク付け |
VAPSのうち、「VAP」の具体例を以下に示します。
まずは「VAP」の情報資産を把握し、「S」にあたるセキュリティレベルを決定します。
当然ながら、企業は社員との信頼関係を前提に運営しているので、個人情報は確実に守らなければなりません。さらに、社外秘マークがあるものや、新製品情報、研究データ、設計図、財務にまつわるデータなども機密情報です。
ほかにも、営業などによって知り得た顧客先の連絡先情報や見積書、契約書、共同開発にまつわる情報なども機密情報に該当します。また、営業時に知り得た営業秘密を漏えいすれば、場合によっては機密情報漏えいにあたり、刑事罰に問われる恐れもあります。
このように、機密情報には自社が外部への開示を予定していない秘密情報だけでなく、営業機密・秘密情報も含まれています。
概念として、「自社および他社に不利益・損害を与える恐れがある情報」が機密情報だと捉えてください。
企業などの機密情報が漏えいすると、自社のみならず取引先にも想像以上の被害を与えてしまいます。企業名や詳細は伏せますが、機密情報漏えいした事例を紹介します。
●損害保険業界の機密情報漏えい事例
国内の損害保険業界では、個人ではなく組織アカウントの機密情報が大量に漏えいしました。
2018年にはダークウェブに流出し、約27億件もの有効なメールアドレス・パスワードがインターネット上に流出し、国内外のITセキュリティ業界を震撼させました。
また、2020年には保険代理店に対する不正アクセスが生じ、顧客情報が8万件以上流出しています。その後、保険業界のセキュリティ担当部門は、多要素認証や暗号化などによる不正アクセス予防保全対策などを実施しました。
●金融機関の情報漏えい事例
2013年、銀行から顧客の氏名・住所・電話番号・口座番号などの個人情報資料が、4万件近く紛失しました。いわゆる人的ミスにより誤って廃棄したことが原因だったため、外部への流出は避けられましたが、その後、情報管理が徹底されました。
2021年には、銀行から複数の業務委託先に誤送信したことが原因で、顧客情報やカードの暗証番号などの機密情報が漏えいしました。漏えいに気づいた銀行側は即時にデータ提供をストップしたため、二次流出は免れました。しかし、顧客にカードの再発行をしてもらうことになり、多大な迷惑を与えてしまったのです。
機密情報漏えい対策は、企業の生命線ともいえるでしょう。
重複する部分はあるものの、大きく「人的エラー」と「不正アクセス」に分け、情報漏えい対策を解説します。
●人的エラーへの機密情報漏えい対策
内部不正やうっかりミスを防ぐためには、自社に応じたセキュリティポリシーの作成が必要です。
業務用デバイスの持ち帰り禁止、デバイスを私用で使わない、メールの添付ファイルは開かない、在宅ワーク時の公衆無線使用禁止などのルールを作成し、従業員に周知徹底しましょう。
内部講師または外部講師による講義を実施しましょう。また、定期的に理解度を確認できるようなテストやアンケートを行うと効果的です。
上司や複数名による確認も行いたいところですが、人的ミスを100%防ぐのは難しいため、メール送信時の誤送信を防止するソフトウェアを活用しましょう。
また、メールでの資料共有をやめてオンラインストレージを活用すれば、機密情報漏えい対策につながります。
●不正アクセスへの機密情報漏えい対策
機密情報を国内外からのサイバー攻撃から死守することは、企業の存続のためにも必要不可欠です。情報を盗み取るマルウェアやランサムウェア配信ツールなど、数え上げればキリがないほどの攻撃が毎秒行われています。
外部からの不正行為による機密情報漏えい対策の初歩的措置として、狙われやすいIoT機器を含めた情報資産状況を確認し、最新のファームウェアや更新プログラムを確実に適用します。
また、多要素認証やアクセス権限などを設け、本人認証も強化しておきましょう。
企業内外からのセキュリティ上の事故や攻撃による脅威を「情報セキュリティインシデント」と呼びます。
サーバーなどの各種ログの確認、アクセスコントロールの再点検、通信の監視などを徹底し、インシデントの早期探知で被害拡大を防ぎましょう。
異常ログを検知するツールを活用すれば、目視だけではわかりにくいログも確認できます。
機密情報漏えいが生じると、多大な損失を受けるばかりか、顧客からの信頼失墜など大きなダメージは免れません。経営者はもとより、ベテランのセキュリティ担当者も過去の概念にとらわれることなく、刻々と変化するサイバー攻撃への認識や機密情報漏えい対策を確実に実施しましょう。
はじめての人事給与BPO(アウトソーシング)活用ガイド
「借り入れ」や「ファクタリング」に頼らなくても大丈夫!新たな資金繰り改善方法
顧問契約書/コンサルティング契約書の作成で気を付けておくべき事
社員寮・借り上げ社宅の管理業務を削減するには
人事給与アウトソーシングサービス導入検討のポイント(中堅規模企業向け)
【2024年度の賃金動向】企業の約6割が“賃上げ見込み”過去最高記録を更新へ。半数超が「ベースアップ」を実施予定
ホールディング経営とは? グループ経営との違いについて解説
約9割の上司が“部下に忖度”…上司と部下の関係性に変化か。立場の違いによる「理想」と「実態」のギャップとは?
高ストレス者への法的に正しい対応と産業医面談の注意点
2024年版中小企業白書・小規模企業白書が閣議決定されました など|5月6日~5月12日官公庁お知らせまとめ
働く人の意識を変える定点観測
産業医が語る!リモートワークによる従業員の健康被害リスクと、その対応方法
若手人材の早期離職を防ぐ1on1とは?~早期離職原因 TOP3から考える会話のテーマ~
土地建物売買契約書の見直し方法と5つのチェックポイント
資金繰り・キャッシュフロー改善にも貢献 BtoB後払い決済・請求代行が生み出すメリット
人材採用は“キャリア採用シフト”の傾向。過熱する人材獲得競争を背景に「応募者の質」が最大の懸念点に
よりよい職場環境を整備するために、企業に求められるラインケアの取り組みとは?
【学歴フィルター】就活・転職における“学歴”の必要性は? キャリアに「関係する」との回答は8割超、特に「書類選考」に影響か
2030年問題の内容と企業への影響、取るべき対策を詳しく解説
【志望動機の例文あり】第二新卒×未経験でも人事になれる?ポイントを解説!
公開日 /-create_datetime-/